PERSONUPPGIFTSBITRÄDESAVTAL

Relevanta dokument
PERSONUPPGIFTSBITRÄDESAVTAL

PERSONUPPGIFTSBITRÄDESAVTAL. ("Personuppgiftsbiträdesavtalet")

PERSONUPPGIFTSBITRÄDESAVTAL

Personuppgiftsbiträdesavtal

MELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE Bil 7

1 Avtal mellan personuppgiftsansvarig och personuppgiftsbiträde

PERSONUPPGIFTSBITRÄDESAVTAL

Avtal MELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE

Säfflehälsan AB Att: Maud Sinclair Sundsgatan 1 B Säffle. 2. Vi skriver under avtalen. 3. Ni får er kopia återsänd.

AVTAL MELLAN PERSONUPPGIFTSANSVARIG OCH

Personuppgiftsbiträdesavtal

Bilaga 1a Personuppgiftsbiträdesavtal

PERSONUPPGIFTSBITRÄDESAVTAL

PERSONUPPGIFTSBITRÄDESAVTAL Hantering av personuppgifter i Skyddat Webbaserat informationssystem (WIS)

PERSONUPPGIFTSBITRÄDESAVTAL

Personuppgiftsbiträdesavtal

PERSONUPPGIFTSBITRÄDESAVTAL

Södertörns brandförsvarsförbund

Personuppgiftsbiträdesavtal

PERSONUPPGIFTSBITRÄDESAVTAL

Bilaga 1: Personuppgiftsbiträdesavtal 1/10

Underbiträdesavtal. Med Avtalet avses detta huvuddokument och vid var tid gällande bilagor.

Detta personuppgiftsbiträdesbiträdesavtal Biträdesavtal [ååmmdd] mellan: [**.], reg. no. [**], med addressen [**] (i det följande

PERSONUPPGIFTSBITRÄDESAVTAL

Personuppgiftsbiträdesavtal

Kommunen och Personuppgiftsbiträdet benämns nedan var för sig Part eller gemensamt Parterna.

Personuppgiftsbiträdesavtal

Personuppgiftsbiträdesavtal Enligt artikel 28.3, Allmänna dataskyddsförordningen EU 2016/679 (i avtalet benämnt dataskyddsförordningen)

Personuppgiftsbiträdesavtal

PERSONUPPGIFTSBITRÄDESAVTAL

Samarbetsavtal behandling av personuppgifter 1. Bakgrund och syfte 2. Samarbetsavtalets giltighetstid

PERSONUPPGIFTSBITRÄDESAVTAL

PERSONUPPGIFTSBITRÄDESAVTAL

ALLMÄNNA VILLKOR FÖR ANVÄNDANDE AV TYRA. 1. Allmänt

PERSONUPPGIFTSBITRÄDESAVTAL. Detta personuppgiftsbiträdesavtal ( Biträdesavtal ) har ingåtts [ååmmdd] mellan:

ADDSECURES BEHANDLING AV PERSONUPPGIFTER

Svensk författningssamling

Personuppgiftsbiträdesavtal 1 Parter Detta avtal har dagen för undertecknanden ingåtts mellan parterna;

Policy för behandling av personuppgifter

PERSONUPPGIFTSBITRÄDESAVTAL Bilaga till Avtal om Swelön

Personuppgiftsbiträdesavtal

Personuppgiftsbiträdesavtal Zynatic Medlemsregister

För det fall att handlingarnas innehåll inte överensstämmer har huvuddokumentet företräde framför bilagan.

Regelverk. Infrastrukturen för vidareförmedling av grundläggande uppgifter om företag. Bilaga D. Personuppgiftsbiträdesavtal. Version: 2.

Personuppgiftsbiträdesavtal

C. Mot bakgrund av ovanstående har Parterna ingått detta Avtal.

Personuppgiftsbiträdesavtal

Bilaga b, (Användaravtal Nyps) Personuppgiftsbiträdesavtal

PERSONUPPGIFTSBITRÄDESAVTAL. Detta personuppgiftsbiträdesavtal ( Biträdesavtal ) har ingåtts [ååmmdd] mellan:

Personuppgiftsbiträdesavtal

PERSONUPPGIFTSBITRA DESAVTAL

Personuppgiftsbiträde

Personuppgiftsbiträdesavtal

InTime International AB (nedan kallat Personuppgiftsbiträdet ) med organisationsnummer och adress Varvsgatan 47, Luleå

Instruktion för personuppgiftsbiträdesavtal

PERSONUPPGIFTSBITRÄDESAVTAL

BESKRIVNING AV PERSONUPPGIFTSHANTERING

Särskilda bestämmelser vid behandling av personuppgifter i samband med andra tjänster än Molntjänster och IT-Infrastrukturtjänster (övriga tjänster)

KOMMUNAL FÖRFATTNINGSSAMLING 2018: Policy och riktlinjer för hantering av personuppgifter. Antagen av kommunfullmäktige

RIKTLINJER FÖR HANTERING AV PERSONUPPGIFTSINCIDENT

PERSONUPPGIFTSBITRÄDESAVTAL

Personuppgiftsbiträdesavtal

Särskilda bestämmelser vid behandling av personuppgifter i samband med Molntjänster

PERSONUPPGIFTSBITRÄ DESÄVTÄL

PERSONUPPGIFTSBITRÄDESAVTAL

Personuppgiftsansvarige och Personuppgiftsbiträde benämns härefter Part eller gemensamt Parterna.

BILAGA Personuppgiftsbiträdesavtal

PERSONUPPGIFTS- BITRÄDESAVTAL

Personuppgiftsbiträdesavtal

Personuppgiftsbiträdesavtal

Policy och riktlinje för hantering av personuppgifter i Trosa kommun

Personuppgiftsbiträdesavtal Fastighetsägarna Dokument

PERSONUPPGIFTSBITRÄDESAVTAL

PERSONUPPGIFTSBITRÄDESAVTAL

Styrande dokument. Policy och riktlinje för hantering av personuppgifter i Göteborgs Stad

PERSONUPPGIFTSBITRÄDESAVTAL Avtal enligt artikel 28.3, Allmänna dataskyddsförordningen EU 2016/6791

Bilaga Personuppgiftsbiträdesavtal

Integritetspolicy. Vårt dataskyddsarbete

Bilaga 3 Personuppgiftsbiträdesavtal

Dataskyddsförordningen vad innebär den för myndigheten. Registrator 2017 Ability Partner. 11 oktober 2017

Tillägg om Zervants behandling av personuppgifter

BILAGA PERSONUPPGIFTSBITRÄDESAVTAL

Styrande dokument. Riktlinjer för dataskydd. Fastställd av Kommunstyrelsen. Senast reviderad av Gäller från och med

Bilaga - Personuppgiftsbiträdesavtal

Riktlinjer fö r behandling av persönuppgifter, Sydna rkes kömmunalfö rbund

Personuppgiftsbiträdesavtal mellan. trafiknämnden/trafikkontoret Göteborgs Stad och [Ange. personuppgiftsbiträde]

Riktlinjer för dataskydd

Personuppgiftspolicy. Dokument: Personuppgiftspolicy för Åda Ab Version: 1.0 Fastställd av Åda Ab:s styrelse Version datum:

Personuppgiftsbiträdesavtal

Personuppgiftsbiträde

M E L L A N P E R S O N U P P G I F T S A N S V A R I G O C H P E R S O N U P P G I F T S B I T R Ä D E

Personuppgiftspolicy Dokument: Personuppgiftspolicy för Oasen boende- och vårdcenter Ändrad av Oasen:s styrelse 30 oktober 2018

Databehandlingstillägg

PERSONUPPGIFTSBITRÄDESAVTAL

Integritetspolicy Rinkaby Rör

RIKTLINJER FÖR BEHANDLING AV PERSONUPPGIFTER INOM SKL KOMMENTUS AB OCH DESS BOLAG (KOMMENTUS)

JUHTA Delegationen för informationsförvaltningen inom den offentliga förvaltningen

Ineras Personuppgiftsbiträdesavtal 3. Avtal enligt artikel 28.3, Dataskyddsförordningen

Integritetspolicy Vilka personuppgifter behandlar vi? När behandlar vi personuppgifter? Vad använder vi personuppgifter till?

Bilaga till Skanovas Allmänna Villkor PERSONUPPGIFTSBITRÄDESAVTAL

Transkript:

PERSONUPPGIFTSBITRÄDESAVTAL ("Personuppgiftsbiträdesavtalet") daterat den: ("Avtalsdagen") MELLAN: KUNDFÖRETAGET: orgnr: Adress: ("Bolaget"); och (1) FÖRETAGSHÄLSAN [HÄLSOLÄNKEN AB], [556194-6830], [Box 211, SE-682 25 Torsby, Sweden] ("Leverantören"); BAKGRUND: (var och en "Part" och tillsammans "Parterna") A B C D Bolaget och Leverantören har ingått ett avtal ("Tjänsteavtalet") enligt vilket Leverantören ska tillhandhålla vissa i Tjänsteavtalet angivna tjänster ("Tjänsterna") till Bolaget. Vid Leverantörens tillhandahållande av Tjänster enligt Tjänsteavtalet kan Leverantören komma att Behandla Personuppgifter, för vilka Bolaget är Personuppgiftsansvarig, som närmare beskrivs i Bilaga 1, i egenskap av Personuppgiftsbiträde till Bolaget. Leverantören åtar sig att Behandla Personuppgifter för Bolagets räkning i enlighet med bestämmelserna i detta Personuppgiftsbiträdesavtal. Leverantören ger tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa att krav i Tillämplig Personuppgiftslagstiftning uppfylls vid Behandling av Personuppgifter på uppdrag av Bolaget. Vid konflikt mellan en bestämmelse i detta Personuppgiftsbiträdesavtal och en bestämmelse i Tjänsteavtalet gäller bestämmelserna i detta Personuppgiftsbiträdesavtal i den utsträckning bestämmelsen i detta Personuppgiftsbiträdesavtal innebär ett bättre skydd för de Personuppgifter som Behandlas. 1. DEFINITIONER I detta Personuppgiftsbiträdesavtal ska följande definitioner ha den betydelse som anges nedan: Postadress Telefon Mail: Faktura adress: Organisationsnummer Box 211 Växel: info@halsolanken.se hsab@pdf.scancloud.se 556194-6830 685 25 Torsby 0560/0565-689130 www.hal.solanken.se FE33 Scancloud, 831 90 Östersund 1

"Avtalsdagen" betyder det ovan angivna datumet; "Behandling", "Personuppgiftsansvarig", "Personuppgifter", "Personuppgiftsbiträde", Personuppgiftsincident", samt "Registrerad" ska ha samma innebörd som i Europaparlamentets och Rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) ("Dataskyddsförordningen"); "Personuppgiftsbiträdesavtal" betyder detta Personuppgiftsbiträdesavtal jämte samtliga härtill hörande bilagor; "Tillämplig Lagstiftning" betyder från tid till annan gällande lagstiftning, förordningar och föreskrifter i EU och i relevanta medlemsstater som är tillämplig på Bolaget och Leverantören; samt "Tillämplig Personuppgiftslagstiftning" betyder från tid till annan gällande lagstiftning, förordningar och föreskrifter, inklusive föreskrifter som meddelats av berörda tillsynsmyndigheter, avseende skydd för fysiska personers grundläggande rättigheter och friheter och särskilt rätt till skydd av deras Personuppgifter vid Behandling av Personuppgifter som är tillämplig på Bolaget och Leverantören, inklusive lagstiftning, förordningar och föreskrifter som genomför direktiv 95/46/EG och, från och med den 25 maj 2018, Dataskyddsförordningen; samt "Tredje Land" betyder en stat som inte ingår i Europeiska unionen (EU) eller är ansluten till det Europeiska ekonomiska samarbetsområdet (EES). 2. ALLMÄNNA SKYLDIGHETER FÖR LEVERANTÖREN 2.1 I den utsträckning Leverantören Behandlar Personuppgifter för Bolagets räkning ska Leverantören endast Behandla Personuppgifter i enlighet med: 2.1.1 Bolagets instruktioner enligt detta Personuppgiftsbiträdesavtal, Tjänsteavtalet och de ytterligare dokumenterade instruktioner som Bolaget från tid till annan ger och inte för några andra egna ändamål; samt 2.1.2 Tillämplig Personuppgiftslagstiftning. 2.2 Oaktat vad som anges i punkten 2.1.1 ovan får Leverantören Behandla Personuppgifter i den utsträckning som det krävs för att Leverantören ska kunna uppfylla skyldigheter som åvilar Leverantören och som följer av tid till annan Tillämplig Lagstiftning. Det ankommer dock på Leverantören att innan sådan Behandling genomförs informera Bolaget om den rättsliga skyldigheten, såvida inte Leverantören är förhindrad enligt Tillämplig Lagstiftning att lämna sådan information. 2.3 Oaktat det lagval som Parterna överenskommit om i Tjänsteavtalet ska Tillämplig Personuppgiftslagstiftning gälla för Behandlingen av Personuppgifter som omfattas av detta Personuppgiftsbiträdesavtal. 2.4 Leverantören ska omedelbart informera Bolaget om Leverantören inte kan uppfylla sina skyldigheter enligt detta Personuppgiftsbiträdesavtal eller om Leverantören anser att en instruktion som Bolaget lämnat om Behandlingen av Personuppgifter skulle stå i 2

strid med Tillämplig Personuppgiftslagstiftning, såvida inte Leverantören är förhindrad att lämna sådan information till Bolaget enligt Tillämplig Lagstiftning. 2.5 Leverantören ska på Bolagets begäran tillhandahålla dokumentation och all annan information för att visa att Leverantören uppfyller sina skyldigheter enligt detta Personuppgiftsbiträdesavtal och Tillämplig Personuppgiftslagstiftning. 3. SÄKERHETSÅTGÄRDER 3.1 Skyldighet att vidta tekniska och organisatoriska åtgärder för att skydda Personuppgifter 3.1.1 Leverantören ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de Personuppgifter som Behandlas mot Personuppgiftsincidenter. Åtgärderna ska åtminstone uppnå den säkerhetsnivå som följer av Tillämplig Personuppgiftslagstiftning, berörda tillsynsmyndigheters tillämpliga föreskrifter och riktlinjer avseende säkerhet för Personuppgifter, samt vad som i övrigt är lämpligt i förhållande till risken med Behandlingen, inklusive men inte begränsat till: 3.1.1.1 pseudonymisering (när det är lämpligt) och kryptering av Personuppgifter; 3.1.1.2 åtgärder för att förhindra överföring av Personuppgifter till obehöriga mottagare, inklusive åtgärder för att säkerställa säker överföring av Personuppgifter genom kryptering; 3.1.1.3 förmågan att fortlöpande säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft hos behandlingssystemet och behandlingstjänsterna; 3.1.1.4 förmågan att återställa tillgängligheten och tillgången till Personuppgifter i rimlig tid vid en fysisk eller teknisk incident; 3.1.1.5 ett förfarande för att regelbundet testa, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska åtgärder som ska säkerställa Behandlingens säkerhet; samt 3.1.1.6 åtgärder för att säkerställa att fast och flyttbar lagringsmedia som har använts för Behandling av Personuppgifter enligt detta Personuppgiftsbiträdesavtal på ett säkert och oåterkalleligt sätt förstörs när de inte längre används. 3.1.2 De säkerhetskrav som följer av bilaga 2 ska gälla såsom minimum om inte Tillämplig Personuppgiftslagstiftning föreskriver strängare krav, vilka då ska följas. 3.1.3 Leverantören ska vidare bistå Bolaget på Bolagets begäran med nödvändig information för att Bolaget, i förekommande fall, ska kunna uppfylla sina skyldigheter att genomföra konsekvensbedömning och förhandssamråd med 3

berörda tillsynsmyndigheter avseende den Behandling av Personuppgifter som omfattas av detta Personuppgiftsbiträdesavtal. 3.2 Behörighetskontroll och -loggning, samt sekretess för Personuppgifter 3.2.1 Leverantören ska tillse att tillgång till Personuppgifterna är begränsad till den personal hos Leverantören som behöver tillgång till Personuppgifterna för att Leverantören ska kunna uppfylla sina åtaganden gentemot Bolaget enligt detta Personuppgiftsbiträdesavtal och Tjänsteavtalet. Leverantören ska tillse att personal hos Leverantören endast Behandlar Personuppgifter enligt vad som följer av punkten 2.1 ovan. 3.2.2 Leverantören ska vidare tillse att all personal som är behöriga att få tillgång till och Behandla Personuppgifterna iakttar sekretess vid Behandling av Personuppgifterna som omfattas av detta Personuppgiftsbiträdeavtal. 3.2.3 Leverantören ska även tillse att åtkomst till Personuppgifter som Leverantören Behandlar enligt detta Personuppgiftsbiträdesavtal loggas och att denna logg sparas för att möjliggöra utredning av Personuppgiftsincidenter. 3.3 Personuppgiftsincident 3.3.1 För det fall en Personuppgiftsincident inträffar ska Leverantören skriftligen underrätta Bolaget om detta utan onödigt dröjsmål och senast inom 48 timmar från det att Personuppgiftsincidenten kom till Leverantörens kännedom. 3.3.2 Leverantören ska omedelbart efter det att en Personuppgiftsincident kommit till Leverantörens kännedom: 3.3.2.1 inleda en rättslig utredning av Personuppgiftsincidenten för att utreda Personuppgiftsincidentens omfattning, art och dess sannolika konsekvenser; 3.3.2.2 vidta lämpliga avhjälpande åtgärder för att förhindra eller begränsa Personuppgiftsincidentens potentiella negativa effekter; 3.3.2.3 samråda med Bolaget för att avgöra om Bolaget skulle vara skyldig, i förekommande fall, enligt Tillämplig Personuppgiftslagstiftning att anmäla Personuppgiftsincidenten till berörd tillsynsmyndighet och/eller informera berörda Registrerade om Personuppgiftsincidenten. 4

3.3.3 Så snart som möjligt efter det att den rättsliga undersökningen påbörjats ska Leverantören tillhandahålla följande information till Bolaget avseende Personuppgiftsincidenten: 3.3.3.1 en beskrivning av Personuppgiftsincidentens art, kategorier av och antalet Registrerade som berörs, samt kategorier av och antalet personuppgiftsposter som berörs; 3.3.3.2 de sannolika konsekvenserna av Personuppgiftsincidenten; samt 3.3.3.3 en beskrivning av de åtgärder som Leverantören, i förekommande fall, redan har vidtagit eller avser att vidta för att åtgärda Personuppgiftsincidenten och/eller för att begränsa Personuppgiftsincidentens eventuella negativa effekter. Om och i den utsträckning det inte är möjligt för Leverantören att tillhandahålla informationen samtidigt får informationen lämnas i omgångar utan onödigt ytterligare dröjsmål. Bolaget ska ha rätt att på Bolagets begäran få en kopia på eventuella rättsliga rapporter som upprättats med anledning av Personuppgiftsincidenten. 3.3.4 Leverantören ska bistå Bolaget i nödvändig omfattning för att utreda Personuppgiftsincidenten och för att Leverantören ska kunna uppfylla anmälnings- och informationsplikt till berörda tillsynsmyndigheter och berörda Registrerade enligt Tillämplig Personuppgiftslagstiftning. 3.4 Rätt att granska och inspektioner 3.4.1 Leverantören ska tillåta och bidra till granskningar, inklusive inspektioner, som genomförs av Bolaget eller av en tredje part som ensamt utses av Bolaget för att kontrollera att Leverantören fullgör sina skyldigheter enligt detta Personuppgiftsbiträdesavtal och Tillämplig Personuppgiftslagstiftning. Bolaget ska ge Leverantören skäligt varsel för det fall Bolaget vill utnyttja sin rätt till att genomföra en granskning eller inspektion. Vardera Parten ska stå sina egna kostnader vid sådan granskning eller inspektionen. Om Bolaget har utsett en tredje part att för Bolagets räkning genomföra granskningen eller inspektionen ska emellertid Bolaget stå för kostnaden för tredje parten, om inte Parterna skriftligen kommer överens om annat. 3.5 Dokumentation 3.5.1 Leverantören ska skriftligen dokumentera de åtgärder som Leverantören vidtagit för att uppfylla sina skyldigheter enligt punkten 3 i detta Personuppgiftsbiträdes- 5

avtal, t.ex. i en säkerhetspolicy. Bolaget ska på begäran ha rätt att få en kopia på dokumentationen. 4. ANLITANDE AV UNDERBITRÄDEN 4.1 Leverantören får anlita underleverantör, underkonsult eller andra tredje parter ("Underbiträden") för att Behandla Personuppgifter för Bolagets räkning endast om Bolaget skriftligen har givit sitt tillstånd till detta på förhand. 4.2 För det fall Leverantören, med Bolagets på förhand lämnade tillstånd i det enskilda fallet, anlitar ett Underbiträde för Behandling av Personuppgifter för Bolagets räkning godkänner Bolaget härmed att Leverantören ingår ett personuppgiftsbiträdesavtal direkt med Underbiträdet, under förutsättning att personuppgiftsbiträdesavtalet med Underbiträdet innehåller samma skyldigheter som gäller enligt detta Personuppgiftsbiträdesavtal. 4.3 Leverantören ska för det fall Leverantören anlitar ett Underbiträde utan onödigt dröjsmål skriftligen informera Bolaget om följande: 4.3.1 Underbiträdets identitet (inklusive uppgift om fullständigt firmanamn, organisationsnummer och adress); 4.3.2 vilken typ av tjänst som Underbiträdet utför; samt 4.3.3 på vilken plats Underbiträdet kommer att Behandla Personuppgifter för Bolagets räkning. 4.4 Leverantören ska tillhandahålla, utöver den information som anges i punkten 4.3 ovan, på Bolagets begäran utan onödigt dröjsmål en kopia på det personuppgiftsbiträdesavtal som Leverantören ingått med Underbiträdet i enlighet med punkten 4.2 ovan. 4.5 För det fall Underbiträdet inte uppfyller sina skyldigheter är Leverantören fullt ansvarig gemtemot Bolaget för utförandet av Underbiträdets skyldigheter. 4.6 För det fall Bolaget ger ett skriftligt allmänt förhandstillstånd avseende anlitande av Underbiträden ska Bolaget ha rätt att göra invändning mot Leverantörens anlitande av nytt Underbiträde. 5. SEKRETESS Utan att det påverkar tillämpningen av eventuella sekretessåtaganden i Tjänsteavtalet ska Leverantören hålla alla Personuppgifter som Behandlas för Bolagets räkning strikt konfidentiella. Leverantören ska således inte, direkt eller indirekt, utlämna några Personuppgifter till tredje part om inte Bolaget skriftligen på förhand godkänt detta, såvida inte Leverantören är skyldigt enligt Tillämplig Lagstiftning att lämna ut Personuppgifterna, eller om det är nödvändigt för fullgörandet av Tjänsteavtalet eller detta Personuppgiftsbiträdesavtal. Leverantören samtycker till att sekretessåtagandet i denna punkt 5 ska fortsätta att gälla även om detta Personuppgiftsbiträdesavtal upphör och till dess att alla Personuppgifter har 6

återlämnats till Bolaget eller (efter Bolagets skriftligen begäran) på ett säkert och oåterkalleligt sätt förstörts eller avidentifierats enligt punkten 8 nedan. 6. SKADELÖSHETSÅTAGANDE Bestämmelserna avseende ansvar i Tjänsteavtalket ska äga motsvarande tillämpning på detta Personuppgiftsbiträdesavtal. Leverantören ansvarar för eventuella Underbiträdens Behandling av Personuppgifter för Bolagets räkning såsom Behandling för Bolagets räkning för egen del. 7. REGISTRERADES RÄTTIGHETER Leverantören ska bistå Bolaget genom att vidta de tekniska och organisatoriska åtgärder som är nödvändiga för att Bolaget ska kunna fullgöra sin skyldighet att svara på en begäran om utövande av en Registrerads rättighet som tillkommer en Registrerad enligt Tillämplig Personuppgiftslagstiftning. 8. ÅTERLÄMNANDE AV PERSONUPPGIFTER Vid Tjänsteavtalets upphörande ska Leverantören till Bolaget omedelbart återlämna (och/eller efter Bolagets skriftliga begäran på ett säkert och oåterkalleligt sätt utplåna eller avidentifiera) alla Personuppgifter som Leverantören eller Underbiträde besitter eller har inom sin kontroll och som tillhör Bolaget, såvida inte Leverantören är skyldig enligt Tillämplig Lagstiftning att lagra Personuppgifterna. Leverantören ska, på Bolagets begäran, lämna skriftlig information avseende de åtgärder som Leverantören vidtagit för att uppfylla sina skyldigheter enligt denna punkt 8. 9. ÖVERFÖRING TILL OCH BEHANDLING AV PERSONUPPGIFTER I TREDJE LAND 9.1 Leverantören får inte överföra Personuppgifter som tillhör Bolaget till ett Tredje Land utan Bolagets på förhand lämnande tillstånd. 9.2 För det fall Personuppgifter, med Bolagets på förhand lämnade tillstånd, kommer att överföras till eller Behandlas i Tredje Land ska Parterna dessförinnan: 9.2.1 undersöka om det Tredje Landet säkerställer en adekvat skyddsnivå för Personuppgifter enligt ett beslut meddelat av EU-kommissionen och om så är fallet får Personuppgifter överföras till detta Tredje Land; och om sådant beslut inte föreligger; 9.2.2 säkerställa att det finns lämpliga skyddsåtgärder på plats enligt Tillämplig Personuppgiftslagstiftning, t.ex. standardiserade dataskyddsbestämmelser som antagits av EU-kommissionen, som omfattar överföringen och Behandling av Personuppgifterna; eller (i avsaknad av sådana skyddsåtgärder) 9.2.3 undersöka om det är möjligt att förlita sig på något undantag enligt Tillämplig Personuppgiftslagstiftning för överföringen av Personuppgifter och om så är fallet får Personuppgifterna överföras till det Tredje Lander endast i den utsträckning (i) 7

som det aktuella undantaget omfattar överföringen och Behandlingen av Personuppgifter, samt (ii) Bolaget anser att det är möjligt att förlita sig på det aktuella undantaget. 9.3 Till undvikande av tvivel får Personuppgifter inte överföras till eller Behandlas i Tredje Land om ingen av förutsättningarna i punkten 9.2 ovan föreligger. 10. AVTALSPERIOD OCH UPPHÖRANDE 10.1 Detta Personuppgiftsbiträdesavtal träder i kraft på Avtalsdagen och ska därefter gälla tillsvidare. Bolaget äger rätt att säga upp detta Personuppgiftsbiträdesavtal med iakttagande av en uppsägningstid om en (1) månad. Uppsägning ska vara skriftlig. 10.2 Personuppgiftsbiträdesavtal ska gälla även om Tjänsteavtalet upphör och tillsvidare till dess att Leverantören (och Underbiträden anlitade av Leverantören) upphör med att Behandla Personuppgifter för Bolagets räkning. 11. ÖVERLÅTELSE Ingen av Parterna ska äga rätt att helt eller delvis överlåta sina rättigheter eller skyldigheter enligt detta Avtal utan den andra Partens skriftliga samtycke. 12. ÄNDRINGAR OCH TILLÄGG Ändringar och tillägg till detta Avtal ska vara skriftliga och undertecknade av båda Parter för att äga giltighet. 13. TILLÄMPLIG LAG På detta Avtal ska svensk lag tillämpas. Detta Personuppgiftsbiträdesavtal har upprättats i två (2) likalydande exemplar av vilka Parterna erhållit var sitt. Ort och datum Ort och datum LYSVIKS FÖRSAMLING HÄLSOLÄNKEN AB Namnförtydligande Namnförtydligande 8

Bilaga 1 BESKRIVNING AV BEHANDLINGEN AV PERSONUPPGIFTER SOM OMFATTAS AV PERSONUPPGIFTSBITRÄDESAVTALET Kategorier av Registrerade Kunder (Bolaget och dess anställda). Kategorier av Personuppgifter Personuppgifter som behövs för att fullfölja avtalet, såsom personnummer, kontaktuppgifter och uppgifter om hälsa. Ändamål med Behandlingen För att tillhandahålla tjänsterna enligt Tjänsteavtalet. För att fullgöra övriga skyldigheter som åvilar Leverantören enligt Tjänsteavtalet och detta Personuppgiftsbiträdesavtal. Behandlingar av Personuppgifter Bearbetning/Ändring (av uppgifter införda i de system Personuppgiftsbiträdet förvaltar) Insamling/framtagning/läsning/användning (vid t ex medicinska kontroller, utredningar, friskvårdstjänster och övriga tjänster) Lagring (information i företags- och personlig journal samt tillhörande system för att tillhandahålla tjänster enligt tjänsteavtalet). Organisering/strukturering (för att tillhandahålla tjänster, t ex strukturering av verksamhetsplaneringar). Radering (efter avtalets slut eller vid annan överenskommelse med personuppgiftsansvarig alternativt enligt speciallagstiftning, t ex patientdatalagen, bokföringslagen). Begränsning (T ex såsom vid åtkomst av personlig journal). Utlämning genom överföring/spridning (För att tillhandahålla tjänster, t ex stöttning i rehabansvar genom arbetsplatsnärastöd). Justering/sammanförande (För sammanställande av underlag såsom medicinska utredningar samt vid uppdateringar av bolagsinformation). Registrering (vid t ex medicinska kontroller, utredningar, friskvårdstjänster och övriga tjänster). System De system som krävs för att tillhandahålla tjänster enligt tjänsteavtalet. Bevarande av Personuppgifter Leverantörens policy om bevarande av Personuppgifter gäller i förhållande till de Personuppgifter som omfattas av detta Personuppgiftsbiträdesavtal.

Bilaga 2 BESKRIVNING AV TEKNISKA OCH ORGANISATORISKA SÄKERHETSÅTGÄRDER FÖR ATT SKYDDA PERSONUPPGIFTER Säkerhetsåtgärder Fysisk åtkomst: Endast behörig personal har fysisk åtkomst till fysiska lagringsmedia såsom papper och dataserver. Åtkomst till system: Endast behörig personal har åtkomst till de system som behövs för tjänsten. Tre säkerhetsnivåer; VPN-tunnel, inloggning i server, inloggning till respektive system. Åtkomst till personuppgifter: Endast behörig personal har åtkomst till personuppgifter. Behörighet styrs genom rolltilldelning baserad på arbetsuppgift. Överföring av personuppgifter: Överföring av personuppgifter sker ej till tredje land. Behörighetsstyrning: Behörighetsstyrning tillämpas utifrån användarroller för de IT-system där personuppgifter behandlas. Säker autentisering: Anslutning utifrån det fysiska interna nätverket är enbart möjligt genom 2-faktors autentisierad VPN. Hantering av lagringsmedia: Interna rutiner finns för hantering och återlämning av lagringsmedia. Kapacitets- och kontinuitetsplanering: Servern är dimensionerad utifrån antalet användare och övervakas kontinuerligt. Säkerhetskopiering utförs schematiskt. Samtlig säkerhetskopiering kontrolleras och logg förs över lyckad/misslyckade aktiviteter. Test av återläsning sker återkommande. Separation av data (logisk/fysisk): Logisk separation av data sker genom systemens rättighetssystem samt mellan servrar genom brandväggsregler.

Loggning: Serveraktiviteter övervakas genom loggning av användning samt trafik. Aktivitet inom systemen som hanterar personuppgifter sker genom loggning av användaraktiviteter. Hantering av tekniska sårbarheter: Servrar skyddas genom brandvägg, antivirus samt DNS-skydd. Säkerhetsuppdateringar hanteras manuellt och övervakas Dokumenterade driftrutiner: Dokumenterade driftrutiner finns vid IT-avdelningen för servrar samt övrig IT-drift. Oberoende granskning: Inom ramen för certifieringsrevisioner samt uppföljande revisioner utifrån ISO 9001.

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss